12 januari 2012

Beveiliging overheidswebsites schiet te kort

image for Beveiliging overheidswebsites schiet te kort image

Geleerde lessen: Lektober 2011

Geleerde lessen: Lektober 2011
De elektronische overheid is lek als een mandje. Althans, als je de media moet geloven. Dankbaar gevoed door de lekkages die onze nationale hacker Brenno de Winter – ook bekend als ‘serial WOBber’ – aan het licht heeft gebracht, hebben de media een beeld gecreëerd van een eLEKtronische overheid die zo lek is als een mandje. De Winter zelf – hij heeft zijn bedenkingen tegen de praktijk rond onze Wet openbaarheid van bestuur ook in Od uiteen gezet1 – hield het discreet en netjes. Hij gaf, heel sportief, toe dat ook zijn eigen e-mail werd gehackt. Maar media als GeenStijl.nl waren minder terughoudend. Zo viel daar te lezen over de beveiligingslekken bij gemeenten: “Echt gigantisch niet te geloven wat een enorm gat, daar passen moeiteloos vijf Boeing 747’s naast elkaar in.” En de verantwoordelijke ambtenaren zouden volgens GeenStijl intussen allemaal “aan het volleyballen, wandelen etc” zijn. Er valt zeker af te dingen op deze tendentieuze berichtgeving, die deels niet strookte met de feiten. GeenStijl noemde op zijn website zo’n vijftig gemeenten, waarvan een deel niet bleek te bestaan. Een ander deel betrof gemeenten die nog een oude site – van een vroegere, heringedeelde gemeente – in de lucht hadden, vanaf oude servers. Even goed een kwalijke zaak dat die nog bereikt konden worden, met daarop nog aanwezige gegevens. Het werd blijkbaar niet de moeite waard gevonden om daar updates van systeem- en beveiligingssoftware op aan te brengen. Dat is op z’n minst nogal slordig.

Geleerde lessen: de DigiNotar-crisis
Was men dan niet gewaarschuwd? De lekken die in de maand LEKtober aan het licht werden gebracht, volgden op het schandaal rond DigiNotar dat eind augustus al uitbrak. Deze, mede door het notariaat opgerichte, uitgever van beveiligingscertificaten bleek zelf te zijn gehackt. De eigen beveiligingsorganisatie schoot op eenvoudige punten op nogal knullige wijze tekort. Het feit dat op het systeem van Digi- Notar was ingebroken werd maandenlang verzwegen; intussen konden, in elk geval in theorie, valse certificaten worden gegenereerd. Toen de zaak aan het licht kwam, was er eerst nog de geruststellende verklaring dat de overheid, de beheerder van onder meer DigiD, vanuit een afgescheiden omgeving werd bediend waarop niet kon zijn ingebroken. Toen dat niet waar bleek, was het, na enkele uren nachtelijk crisisberaad en ultimatums aan de Amerikaanse eigenaar VASCO, gedaan met DigiNotar. Onder grote druk en dreiging met juridische stappen gaf het bedrijf in het weekeind van 2 september een lijst vrij met de namen van afnemers van haar certificaten. Alleen al aan gemeenten bleken ruim 3700 certificaten te zijn uitgegeven. De rijksoverheid nam in datzelfde weekeind het bewind van DigiNotar over. Het bedrijf werd op 20 september failliet verklaard.
Alle verdachte certificaten moesten worden vervangen; dat kost tijd en de druk nam toe toen grote spelers als Microsoft en Google aangaven geen met DigiNotar ‘beveiligd’ dataverkeer meer te accepteren. LOGIUS, de beheerder van DigiD, kreeg opdracht alle gebruikers van DigiD die hun beveiliging niet op orde hebben, te weren. Dat had en heeft nog steeds tot gevolg dat sommige diensten die gebruik maken van deze authenticatievoorziening, buiten gebruik gesteld moesten worden. Zo was het enige dagen niet mogelijk belastingaangiften te doen met DigiD. De burger ondervindt daar enige hinder van; tot een klachtenstroom heeft het allemaal niet geleid. Bij herhaling van deze incidenten zal het vertrouwen van de burger in de elektronische overheid echter snel afnemen. En alleen al daarom moet elk incident serieus genomen worden.

Mentaliteit en professionaliteit
De DigiNotar-affaire en de LEKtober-actie hebben geleid tot gerichte en adequate acties. ‘Beveiliging’ is met stip gestegen op de prioriteitenlijst van de elektronische overheid. Het zal niet blijven bij incidentele maatregelen; het toezicht op instanties die moeten instaan voor beveiliging zal structureel worden aangescherpt. Maar wordt de noodzaak van beveiliging nu ook werkelijk door iedereen gevoeld? Na het bezweren van een crisis wordt al snel gezocht naar schuldigen die aansprakelijk gesteld kunnen worden. De systeembeheerder. Het bedrijf waar het systeembeheer aan is uitbesteed. De softwareleverancier. Inspecties en leveranciers van beveiligingscertificaten. Dat is vluchten voor de eigen verantwoordelijkheid van de instantie – de gemeente, de uitkeringsinstantie, het bedrijf – die de burger of de klant veilige elektronische diensten en betrouwbare informatie levert. Onverminderd het vertrouwen dat er moet zijn in partijen die beveiligingsmiddelen leveren. Vertrouwen is goed, maar controle op die partijen is beter. Dat vraagt om professionaliteit, zowel bij de inrichting en handhaving van de eigen beveiligingsorganisatie als bij de aansturing van derden. Maar eerst en vooral gaat het om de mentaliteit die beveiliging serieus neemt als ieders eigen verantwoordelijkheid. De keten is zo sterk als de zwakste schakel en dat is meestal toch: de mens.

De burger zelf
De elektronische wereld is complex en daardoor kwetsbaar. Burgers gaan zelf vaak slordig om met social media en nemen het ook niet altijd even nauw met beveiliging. PIN-codes worden lang niet altijd als strikt persoonlijk beschouwd. Dat is natuurlijk geen excuus voor de overheid. En zeker geen aanleiding om, zoals ambtenaren bij de Belastingdienst ooit deden, burgers voor te stellen de PIN-code van de buurman te lenen om nog op tijd aangifte te kunnen doen. Beveiliging kan altijd beter, maar honderd procent veiligheid is een onbetaalbare fictie. Veiligheid heeft een prijs en dat moet de belastingbetalende burger ook begrijpen. Beveilig de digitale wereld en begin bij jezelf.

kees.duijvelaar@gmail.com


1 Brenno de Winter, Zoeken zonder hulp, Od oktober 2010.